Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".
7. Оценка текущего уровня информационной безопасности
организации банковской системы Российской Федерации
7.1. Оценка текущего уровня ИБ организации определяется с помощью
групповых и частных показателей ИБ, позволяющих оценить степень
выполнения требований ИБ СТО БР ИББС-1.0 для следующих областей:
- обеспечение ИБ при назначении и распределении ролей и
обеспечении доверия к персоналу;
- обеспечение ИБ на стадиях жизненного цикла АБС;
- обеспечение ИБ при управлении доступом и регистрацией;
- обеспечение ИБ средствами антивирусной защиты;
- обеспечение ИБ при использовании ресурсов сети Интернет;
- обеспечение ИБ при использовании средств криптографической
защиты информации;
- обеспечение ИБ банковских платежных технологических процессов;
- обеспечение ИБ банковских информационных технологических
процессов;
- обработка персональных данных в организации БС РФ;
- обеспечение ИБ банковских технологических процессов, в рамках
которых обрабатываются персональные данные.
7.2. Групповые показатели по направлению оценки "текущий уровень
ИБ организации" отражают совокупность требований ИБ к областям,
определенным в разделе 7 СТО БР ИББС-1.0. Таблица 4 отражает
соответствие между структурными элементами СТО БР ИББС-1.0,
содержащими требования ИБ, и групповыми показателями ИБ,
предназначенными для проверки реализации данных требований.
Таблица 4. Соответствие групповых показателей ИБ совокупности
требований ИБ к областям, определенным в разделе 7 СТО БР ИББС-1.0
--------------------T----------------------------------------------T----------------------¬
¦ Обозначение ¦ Наименование группового показателя ИБ ¦ Структурный ¦
¦ группового ¦ ¦ элемент ¦
¦ показателя ¦ ¦ СТО БР ¦
¦ ИБ ¦ ¦ ИББС-1.0 ¦
+-------------------+----------------------------------------------+----------------------+
¦ M1 ¦ Обеспечение ИБ при назначении и распределении¦ п. 7.2 ¦
¦ ¦ ролей и обеспечении доверия к персоналу ¦ ¦
+-------------------+----------------------------------------------+----------------------+
¦ M2 ¦ Обеспечение ИБ на стадиях жизненного цикла ¦ п. 7.3 ¦
¦ ¦ АБС ¦ ¦
+-------------------+----------------------------------------------+----------------------+
¦ M3 ¦ Обеспечение ИБ при управлении доступом и ¦ п. 7.4 ¦
¦ ¦ регистрации ¦ ¦
+-------------------+----------------------------------------------+----------------------+
¦ M4 ¦ Обеспечение ИБ средствами антивирусной ¦ п. 7.5 ¦
¦ ¦ защиты ¦ ¦
+-------------------+----------------------------------------------+----------------------+
¦ M5 ¦ Обеспечение ИБ при использовании ресурсов ¦ п. 7.6 ¦
¦ ¦ сети Интернет ¦ ¦
+-------------------+----------------------------------------------+----------------------+
¦ M6 ¦ Обеспечение ИБ при использовании средств ¦ п. 7.7 ¦
¦ ¦ криптографической защиты информации ¦ ¦
+-------------------+----------------------------------------------+----------------------+
¦ M7 ¦ Обеспечение ИБ банковских платежных ¦ п. 7.8 ¦
¦ ¦ технологических процессов ¦ ¦
+-------------------+----------------------------------------------+----------------------+
¦ M8 ¦ Обеспечение ИБ банковских информационных ¦ п. 7.9 ¦
¦ ¦ технологических процессов ¦ ¦
+-------------------+----------------------------------------------+----------------------+
¦ M9 ¦ Общие требования по обработке персональных ¦ п. 7.10 ¦
¦ ¦ данных в организации БС РФ ¦ ¦
+-------------------+----------------------------------------------+----------------------+
¦ M10 ¦ Общие требования по обеспечению ¦ п. 7.11 ¦
¦ ¦ информационной ¦ ¦
¦ ¦ безопасности банковских технологических ¦ ¦
¦ ¦ процессов, в рамках которых обрабатываются ¦ ¦
¦ ¦ персональные данные ¦ ¦
L-------------------+----------------------------------------------+-----------------------
7.3. Частные показатели по направлению оценки "текущий уровень ИБ
организации" отражают отдельные требования ИБ СТО БР ИББС-1.0,
предъявляемые по каждой из областей. Частные показатели по направлению
оценки "текущий уровень ИБ организации" (показатели M1 M10), метрики,
а также коэффициенты значимости aij приведены в Приложении А.
7.4. Оценивание частных показателей в рамках групповых
показателей M1 M6 необходимо осуществлять раздельно по результатам
анализа выполнения соответствующих требований СТО БР ИББС-1.0 по
следующим направлениям:
- банковский платежный технологический процесс (M7);
- банковский информационный технологический процесс (M8);
- банковский технологический процесс, в рамках которого
обрабатываются персональные данные (M10).
7.5. Оценки EVMij и EVMi, полученные в результате оценивания
групповых показателей ИБ M1 M10, вносятся в соответствующие графы
представленных в Приложении А форм.
7.6. Итоговая оценка EV1, отражающая степень выполнения
требований СТО БР ИББС-1.0 по направлению "текущий уровень ИБ
организации", определяется по наименьшему значению из следующих
оценок:
EVБИТП- степень выполнения требований СТО БР ИББС-1.0,
регламентирующих банковский информационный технологический процесс;
EVБПТП- степень выполнения требований СТО БР ИББС-1.0,
регламентирующих банковский платежный технологический процесс;
EV2ОЗПД - степень выполнения требований СТО БР ИББС-1.0,
регламентирующих защиту персональных данных в информационных системах
персональных данных, с учетом оценки степени выполнения требований СТО
БР ИББС-1.0 по обеспечению информационной безопасности при
использовании средств криптографической защиты информации;
EVООПД- степень выполнения требований СТО БР ИББС-1.0,
регламентирующих обработку персональных данных.
7.7. Оценка степени выполнения требований СТО БР ИББС-1.0,
регламентирующих банковский платежный технологический процесс,
вычисляется по формуле, в которой оценки групповых показателей M1 M6
выбираются по результатам их оценивания, применительно к банковскому
платежному технологическому процессу:
(не приводиться)
Оценка степени выполнения требований СТО БР ИББС-1.0,
регламентирующих банковский информационный технологический процесс,
вычисляется по формуле, в которой оценки групповых показателей M1 M6
выбираются по результатам их оценивания, применительно к банковскому
информационному технологическому процессу:
(не приводиться)
Оценка степени выполнения требований СТО БР ИББС-1.0,
регламентирующих защиту персональных данных в информационных системах
персональных данных (ИСПДн), без учета оценки степени выполнения
требований СТО БР ИББС-1.0 по обеспечению ИБ при использовании средств
криптографической защиты информации (СКЗИ) вычисляется по формуле, в
которой оценки групповых показателей M1 M5 выбираются по результатам
их оценивания, применительно к банковскому технологическому процессу,
в рамках которого обрабатываются персональные данные в ИСПДн:
(не приводиться)
Оценка степени выполнения требований СТО БР ИББС-1.0,
регламентирующих защиту персональных данных в ИСПДн, с учетом оценки
степени выполнения требований СТО БР ИББС-1.0 по обеспечению ИБ при
использовании СКЗИ вычисляется по формуле, в которой оценки групповых
показателей M1 M6 выбираются по результатам их оценивания,
применительно к банковскому технологическому процессу, в рамках
которого обрабатываются персональные данные в ИСПДн:
(не приводиться)
Оценка степени выполнения требований СТО БР ИББС-1.0,
регламентирующих обработку персональных данных, вычисляется по
формуле:
EV = EV
ООПД M9
7.8. Оценки EVMi, полученные в результате оценивания групповых
показателей ИБ M1 M10, отображаются на круговой диаграмме (см. раздел
11) в секторах с 1-го по 10-й дугами, отстающими от центра круговой
диаграммы на величину, соответствующую значению этих оценок.
7.9. Оценка EV1 отображается на круговой диаграмме (см. раздел
11) в секторах с 1-го по 10-й дугой, отстающей от центра круговой
диаграммы на величину, соответствующую значению EV1.
|
Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".